La empresa que decide externalizar a terceros cualquier servicio que conlleva el tratamiento de datos (ej.: en una asesoría laboral, contable y fiscal), sigue siendo responsable legal del tratamiento de datos que lleve a cabo dicho tercero. Las principales obligaciones legales incumben al responsable del tratamiento, que es quien decide para qué trata los datos y qué medios utiliza para ello, aunque para ello recurra a terceros. No obstante, la normativa también establece obligaciones específicas para el encargado del tratamiento, es decir, para el proveedor externo que trata datos por cuenta del responsable. En todo caso, el responsable debe poder demostrar que ha sido diligente en la elección del encargado y formalizar un contrato que incluya el contenido mínimo previsto en el RGPD.